Privacy regelgeving in opkomst!

In de voorbije jaren leidde de Wet bescherming persoonsgegevens een relatief rustig bestaan. Voor veel ondernemingen werd niet of nauwelijks nagedacht over de vraag wat nu precies persoonsgegevens zijn en hoe daarmee moet worden omgegaan. Op zich niet verwonderlijk als bedacht wordt dat op overtreding van de wet eigenlijk geen echte sancties stonden. Echter, per 1 januari jl. is er behoorlijk wat veranderd en zijn de regels fors aangescherpt.

Door Floris Wubbena

wubbena

Meldplicht

Zo is onder meer de meldplicht bij datalekken ingevoerd. Heel in het kort komt deze plicht er op neer dat in het geval persoonsgegevens onverhoopt “op straat komen te liggen”, de verantwoordelijke voor die persoonsgegevens (meestal de onderneming die de persoonsgegevens heeft verwerkt) hiervan zo spoedig mogelijk melding moet maken bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens).

Kortom, als bijvoorbeeld een usb-stick wordt verloren, een laptop wordt gestolen of een netwerk wordt gehackt waarop persoonsgegevens staan waarvan de openbaarmaking zou kunnen leiden tot ernstige nadelige gevolgen voor de desbetreffende personen, dan dient hiervan melding te worden gemaakt bij de Autoriteit Persoonsgegevens. Dat dient dan te gebeuren met een webformulier, dat terug te vinden is op de website van de Autoriteit Persoonsgegevens. In sommige gevallen dienen de betrokkenen eveneens te worden geïnformeerd.

Forse boetes

Een andere belangrijke wijziging van de Wet Bescherming Persoonsgegevens is dat de Autoriteit Persoonsgegevens de bevoegdheid heeft gekregen om forse boetes op te leggen voor overtredingen van vrijwel alle verplichtingen uit de Wet bescherming persoonsgegevens. Gedacht kan daarbij worden aan boetes voor het te lang bewaren van persoonsgegevens, het verwerken van persoonsgegevens zonder gerechtvaardigd doel, het zonder toestemming verwerken van persoonsgegevens etc..

Heeft een dergelijke overtreding niet opzettelijk of ernstig verwijtbaar plaatsgevonden, dan zal de Autoriteit Persoonsgegevens eerst nog een bindende aanwijzing moeten opleggen.

Wordt daar vervolgens niet aan voldaan, dan kan de Autoriteit Persoonsgegevens dus boetes opleggen die kunnen oplopen tot wel € 820.000,00, of, indien dat geen passende bestraffing zou zijn, zelfs 10% van de jaaromzet van de overtreder. Wordt de Wet bescherming persoonsgegevens opzettelijk overtreden, dan kan de Autoriteit Persoonsgegevens zelfs terstond boetes opleggen.

Gevolgen voor organisaties

De nieuwe regels zijn per 1 januari jl. ingevoerd en het is om die reden nog te vroeg om te zeggen welke daadwerkelijke gevolgen de gewijzigde regelgeving zal hebben.

Dat neemt niet weg dat het voor bedrijven en instellingen van groot belang is om te beoordelen of binnen hun organisatie wordt voldaan aan privacyregelgeving. Dat begint bij de vraag of en zo ja welke persoonsgegevens worden verwerkt en of dat gebeurt in een geautomatiseerd systeem. Daarnaast zal moeten worden nagegaan welke protocollen al gelden voor de verwerking van persoonsgegevens en welke maatregelen worden genomen indien sprake is van een onverhoopt datalek. Ook zal moeten worden gekeken naar overeenkomsten die met derden zijn gesloten, binnen welke overeenkomsten eveneens persoonsgegevens worden verwerkt. Daarbij kan bijvoorbeeld worden gedacht aan overeenkomsten met systeembeheerders, iCloud-diensten etc.

Mocht u hierover nadere vragen hebben of  over dit onderwerp willen worden geadviseerd, dan kunt u contact opnemen met Floris Wubbena.

Reageren is niet mogelijk.